A integridade dos processos digitais de bordo é ameaçada quando os maus actores podem facilmente utilizar documentos de identidade falsificados.

O avanço da computação móvel tem tido um impacto notável em tantos aspectos das nossas vidas, com
comodidade
sendo um tema comum. Uma aplicação que tem registado grandes avanços é o vetting e onboarding de novos clientes; os nossos dispositivos permitem-nos agora solicitar contas remotamente, aproveitando as câmaras de alta qualidade e potentes CPUs que estão omnipresentes nos nossos telemóveis e computadores portáteis. É mais um caso de tecnologia, e de IA em particular, ajudando a automatizar funções empresariais que de outra forma são propensas ao erro humano.

A banca digital significa menos visitas a agências, se alguma

Não há muito tempo, os potenciais clientes bancários precisavam de visitar uma agência local para se candidatarem a uma conta. Para alguns isto é um inconveniente ligeiro, mas pode ser uma limitação mais onerosa quando uma viagem à agência bancária mais próxima é um assunto de dia inteiro; não é uma situação invulgar em muitas partes do mundo. Além disso, um requisito de aplicação presencial tem o efeito de limitar o mercado endereçável aos consumidores com acesso a uma presença física de retalho local. Tornar os serviços financeiros mais acessíveis é uma vantagem para todos; uma maior variedade de serviços financeiros e as inovações provenientes da concorrência, contas bancárias para as pessoas que deles necessitam independentemente do local onde vivem, e mais clientes para os bancos.

Mas haverá sempre maus actores que procuram explorar as falhas de segurança detectadas. A deturpação intencional da identidade é uma forma de os infractores tentarem roubar impunemente os bancos e os seus clientes; sem a responsabilização que a prova de identidade traz consigo. O processo de candidatura e de embarque é um momento particularmente vulnerável no ciclo de vida do cliente porque não há historial do candidato para informar o seu perfil de risco. A sua identidade precisa de ser apresentada e verificada antes de qualquer informação sobre o seu historial financeiro ou criminal poder ser efectivamente utilizada para avaliar que níveis de serviço são apropriados.

No caso de uma visita a uma agência de retalho, um requerente apresenta um documento de identidade emitido pelo governo, que um empregado do banco utiliza depois para confirmar visualmente que 1) a pessoa que está perante eles é de facto a mesma pessoa a quem foi emitido o BI, e que 2) a identificação era genuína e não foi alterada de forma alguma. O processo depende de três coisas: uma pessoa viva com a sua identificação na sua posse, a informação biográfica na sua identificação, e o retrato facial na sua identificação.

O onboarding digital requer a apresentação digital de documentos

O embarque remoto permite ao candidato saltar a visita à filial, mas exige que participe neste processo de verificação de identidade utilizando o seu dispositivo móvel ou computador. Baseia-se nas mesmas três coisas: 1) uma pessoa viva na posse da sua identificação genuína, 2) a informação biográfica sobre a sua identificação, e 3) o retrato do seu rosto na identificação. Mas num processo remoto, estes itens devem ser apresentados, capturados, e depois submetidos como fotografias digitais tiradas com os seus dispositivos.

É aqui que entra em jogo a “detecção de falsificação de documentos”. Numa agência bancária, um caixa bancário humano pode facilmente reconhecer a “vivacidade” de uma pessoa e dos seus documentos; quer uma pessoa ou um objecto esteja realmente presente. Podem também ser capazes de reconhecer que uma pessoa é o mesmo que o retrato na sua identificação, embora as taxas de sucesso aqui possam variar muito com uma série de factores. Uma pessoa ainda mais hábil pode reconhecer uma identificação falsa.

Tal como nas imagens biométricas faciais, os documentos de identidade podem ser falsificados

Considerar o processo sem detecção de falsificações. Um mau actor poderia simplesmente apresentar imagens de imagens faciais e identificações – apresentadas num ecrã ou impressas em papel – em vez de uma pessoa ao vivo e um documento ao vivo. Estes são chamados “ataques de apresentação”. Seria relativamente fácil realizar fraudes em larga escala, apresentando centenas ou mesmo milhares de pedidos de conta utilizando fotografias de uma pessoa e a sua suposta identificação, em vez de uma pessoa ao vivo com uma identificação genuína na sua posse.

Replicar milhões de anos de evolução do cérebro humano é uma tarefa complicada para o software e as câmaras digitais, particularmente dadas as poderosas ferramentas que um defraudador pode ter à mão para tentar falsificar o sistema. Mas a IA provou ser uma abordagem poderosa para classificar quando as pessoas e os seus documentos estão vivos e presentes e quando não estão. Idealmente, aproveitamos algoritmos e software de uma forma totalmente transparente para o utilizador, e, o que é importante, não fornece qualquer informação sobre quaisquer contramedidas que possam estar em vigor, como funcionam, e como podem ser derrotados.

No caso dos documentos, há várias formas de um defraudador tentar apresentar uma falsificação, e a sofisticação da sua abordagem pode variar muito. Embora seja praticamente impossível evitar 100% das tentativas de falsificação mais avançadas, o objectivo mais prático é torná-lo proibitivamente arriscado, enfadonho e caro para os criminosos de carreira – tal como no caso dos processos supervisionados pessoalmente, que embora não sejam infalíveis, tornam tão difícil e arriscado para os maus actores encenar ataques escaláveis e repetíveis.

Definindo e classificando alguns ataques de falsificação de documentos

Os ataques de apresentação baseados em documentos vêm numa variedade de níveis de sofisticação baseados na qualidade da imagem e do equipamento de impressão e no tempo de fabrico. O diagrama seguinte ilustra uma selecção de métodos de ataque, e é seguido por algumas definições para ajudar a ordenar e classificar as diferentes abordagens.

Categorização de ataques de falsificação de documentos

Figura: Categorização dos ataques de falsificação de documentos

Reprodução num ecrã digital – Um documento apresentado num ecrã digital, por exemplo um telemóvel, um monitor ou ecrã de computador LCD, ou um ecrã de alta resolução

Cópia impressa em papel – Reprodução de um documento impresso em papel, produzido por qualquer uma das várias tecnologias de imagem e impressão, por exemplo, copiadora, scanner, máquina fotográfica digital, etc.

Substituição do retrato – Um método falso onde o retrato facial é alterado e não a região de dados; ou seja, a região de dados é um documento original e genuíno

Sobreposição – Uma alteração de retrato que utiliza uma fotografia colada sobre o retrato genuíno na região dos dados genuínos

Cópia de página inteira – Uma falsificação de um documento que inclui uma reprodução da página inteira do documento ou cartão, incluindo o retrato e a secção de dados biográficos

Baixa qualidade de digitalização/impressão – Uma falsificação de um documento digitalizado e impresso utilizando um dispositivo de baixa fidelidade, tal como uma fotocopiadora

Alta qualidade de digitalização/impressão – Uma falsificação de um documento gerado utilizando um scanner de imagem de alta resolução ou uma câmara digital e impresso com uma impressora a cores de alta qualidade

Laminado – Uma reprodução de documento impresso em papel que utiliza um retrato laminado e/ou região de dados sobre o documento genuíno e original, com uma superfície que se assemelha mais a um documento genuíno e que é potencialmente mais difícil de detectar

Recorte – Uma cópia ou impressão de uma imagem falsa de uma página inteira de um documento que é cortada e colada num documento genuíno